【安全资讯】Candiru间谍软件活跃基础设施与匈牙利、沙特阿拉伯关联

概要：

研究人员发现与间谍软件制造商Candiru相关的新基础设施，该软件通过Windows恶意软件攻击计算机。Recorded Future的Insikt Group周一发布的研究报告揭示了八个与代号为DevilsTongue的间谍软件相关的独立操作集群，其中五个高度活跃，涉及匈牙利和沙特阿拉伯。这一发现凸显了国家级间谍软件的持续威胁及其对全球网络安全的深远影响。

主要内容：

根据研究报告，Candiru的DevilsTongue间谍软件基础设施包括用于部署和命令控制的受害者面向组件，以及间谍软件运营商使用的高层基础设施。部分集群直接管理受害者面向基础设施，而其他集群则通过中间基础设施层或Tor网络进行操作，后者允许使用暗网。

除了与匈牙利和沙特阿拉伯相关的活跃集群外，研究人员还发现了一个与印度尼西亚相关的集群，该集群似乎一直活跃到2024年11月。然而，与阿塞拜疆相关的另外两个集群的活动状态尚不确定。

DevilsTongue是微软命名的Windows间谍软件，其部署方法包括恶意链接、武器化文件、中间人攻击以及对Windows设备的物理访问。该软件还通过鱼叉式钓鱼邮件中的攻击者控制URL和利用浏览器漏洞的水坑攻击进行传播。

Insikt Group还发现Candiru企业网络中的一个新实体，该实体似乎是在Candiru资产被美国投资基金Integrity Partners收购时成立的。报告称，这个名为Integrity Labs Ltd.的以色列私营公司可能参与了收购过程。值得注意的是，Integrity Partners以3000万美元收购Candiru资产后，将其转移至新实体以避免美国政府制裁。